Впервые Драгос заподозрил неладное, когда его MacBook Air, на котором он только что установил новую копию OS X, спонтанно обновил загрузочную прошивку. Он попытался загрузиться с CD-Rom, но ему это не удалось. Обнаружилось, что машина без запросов пользователю изменяет настройки BIOS.
Эксперт запустил на машине Open BSD, но странности в поведении не исчезли. Все так же без спроса изменялась конфигурация, более того, обнаружилась странная сетевая активность по протоколу IPv6, который был вообще отключен в системе. Еще более странным, оказалась способность зараженных машин передавать небольшие порции данных на другие инфицированные машины, находящиеся в непосредственной близости, даже когда Wi-Fi и Bluetooth, кабели Ethernet и питания были физически отсоединены!
Руи продолжил разбираться с таинственным вирусом и скоро в его лаборатории было уже несколько машин, которые исследовали изолированно. Однажды, они искали ключи реестра, вероятно относящиеся к зловерду, на чистой машине, которой только что была обновлена прошивка BIOS. Вдруг, системный редактор реестра просто оказался заблокированным. Это было совсем странно. Физически отключая устройства на материнской плате, эксперт пришел к выводу, что для коммуникации между машинами вирус использует строенный динамик и микрофон, посылая высокочастотные сигналы. Дальнейшее исследование показало, что список уязвимых операционных систем также включает различные версии Windows и Linux.
В течение трех лет, что Руи боролся с badBIOS, его механизм инфицирования оставался тайной. Пару месяцев назад, после покупки нового компьютера, он заметил, что он оказался почти сразу заражен, как только он вставил одну из своих карт памяти в него. Появились подозрения, что вирус перепрограммирует контролер флэш-памяти для своего распространения.
Руи утверждает, что badBIOS — только начальный модуль многоуровневого зловреда, у которого есть возможность заражать Windows, Mac OS X, BSD и Linux. Для желающих лично покопаться, он выложил дампы зараженного (по его мнению) BIOS.
История похожа на фантастику и приступ паранойи, но некоторые эксперты по информационной безопасности склонны доверять словам Драгоса, да и сам эксперт довольно уважаемый человек в своей среде. А учитывая вскрывшуюся недавно деятельность АНБ, вирусы Stuxnet, Duku и Flame, история уже не выглядит так нереально, возможно перед нами очередное высокотехнологичное детище какой-нибудь могущественной спецслужбы.
Другие наоборот, скептически относятся к гипотезам Руи. Признанный авторитет по информационной безопасности Брюс Шнаер, фактически отказался пока от комментариев, т.к. не имел возможности лично исследовать это «вирус». Ждем официальных мнений от ведущий антивирусных компаний.
ссылка на оригинал статьи http://habrahabr.ru/post/200274/
Добавить комментарий